一種多方聯動的信息系統漏洞應對方案

黃俊強+++宋超臣

【摘要】隨著信息系統的發展，其中的威脅形式也越來越多樣化，漏洞威脅作為其中一種影響范圍廣、威脅程度高的形式被越來越多地關注。常規的應對漏洞威脅是采用補丁的方式，這樣有一定的不足。本文提出一種多方聯動的漏洞威脅應對方式，綜合利用各方資源，加強信息系統的安全性。

【關鍵詞】信息系統；漏洞；多方聯動；補丁；監測

1引言

當前針對漏洞這種安全威脅所采取應對措施的各個環節還相對孤立，沒有銜接成為一個整體，漏洞發現、漏洞分析、漏洞補丁的發布等各個部分各自為戰，彼此之間缺乏聯系，從漏洞發現到最后由此漏洞導致的重要安全威脅被消除，期間的時間跨度較大，使本來就不容樂觀的安全形勢更加嚴峻。參與漏洞處理的各個組織之間缺乏有效的交流，漏洞庫組織、安全公司、愛好者團體之間交流甚少，甚至故意制造技術壁壘，這也嚴重影響了漏洞應對的效率。本文提出一種多方聯動的漏洞威脅應對方案，旨在提高各種資源的利用率，聯合漏洞庫、補丁發布組織、安全組織、愛好者團體等漏洞參與環節，縮短從漏洞發現到漏洞應對措施的成功實施的時間。

2整體框架

當前對漏洞的定義為：在一個信息系統的硬件、軟件或固件的需求、設計、實現、配置、運行等過程中有意留下或無意中產生的一個或若干個缺陷，它會導致該信息系統處于風險之中。漏洞所帶來的威脅不是來自于漏洞本身，而是由于漏洞所引起的信息泄露、未經授權的訪問和篡改等風險。有些漏洞被利用后，攻擊者可以繞過安全機制和授權機制，達到其非法入侵的目的。

現有技術條件下，對漏洞的發現和研究尚未達到完全自動的程度，主要手段仍是手動測試和構造半自動化的測試程序。同時針對不同的文件格式，其漏洞發現和修補的途徑也差異甚大，對網絡協議和各種文件格式的漏洞發掘已經取得一部分研究成果，根據補丁前后的文件比對進而對漏洞進行利用的逆向工程技術也日益豐富，由于不同類型的漏洞的處理方法差異較大，也導致了各個組織之間各有所長，在緩沖區溢出、SQL注入、目錄遍歷、遠程代碼執行等不同的方面都存在較為擅長的組織。

這種情況導致了一批分布于漏洞處理各個領域的研究單位、安全公司、愛好者團體的出現和發展，使這一領域的氣氛非常活躍，但是在某種程度上也阻礙了經驗的交流和成果的轉化。針對這種情況，借鑒現有的殺毒軟件的模式，提出一種新的漏洞應對方案，揚長避短，綜合各方優勢，做到對各種漏洞帶來的威脅及時地響應。

本方案設計為三個主要的部分：漏洞信息獲取、分析和處理；涉及到三個主要的參與方：漏洞信息源、分析中心、最終用戶。其中，信息源提供有關漏洞的相關信息，如漏洞的來源，影響的應用程序、系統或者網絡協議，漏洞的觸發條件，在可能的情況下還要提供漏洞利用的shellcode或者exploit代碼等。分析中心負責對信息源提供的漏洞信息進行分類整理，分析其安全威脅等級，所屬分類，有無補丁，有無相應的exploit代碼，并設置相應的特征碼以便發送給最終用戶進行威脅應對。用戶部分則是根據分析中心得到的特征碼匹配網絡上收到的信息和本地文件內容，若存在一致的部分，則說明有可能是漏洞利用者故意發送的觸發漏洞的代碼或者制造的文件，需要提高警惕。

本方案的三個部分之間需要交互聯系，分析中心從信息源處獲得漏洞的信息并綜合分析處理，然后將結果送到最終用戶，接受最終用戶的反饋，最終用戶也可在程序或者協議出現異常的時候，將場景保存發送給分析中心，分析中心利用人員和數據量上的優勢進行分析處理，同時將此信息分發至各漏洞研究和應對組織，盡量把漏洞堵在未造成危害的狀態。其結構示意如圖1。

3分塊功能劃分

3.1信息源

信息源處于整個方案的設計中的最前端，是方案能夠正常運行的第一步，從信息源處得到的漏洞信息是原始的數據，在漏洞信息獲取的過程中，應當秉持“寧濫勿缺”的原則，盡可能多的搜集各漏洞庫的漏洞信息，以交由分析中心進行分析處理。

目前相對較大的漏洞庫，國外的有美國國家漏洞庫（NVD），美國國土安全部的US-CERT Vulnerability Notes Database，開源的Open Source Vulnerability Database，Symantec公司的SecurityFocus Vulnerability Database，VeriSign公司的iDefense Vulnerability Advisories，這些漏洞庫大都遵循CVE（Common Vulnerability and Exposures）標準且有各自不同的更新方式，其中的內容詳細全面，是很有價值的漏洞庫參考。

國內的漏洞庫主要是中國國家漏洞庫、國家安全漏洞庫、國家信息安全漏洞共享平臺和綠盟公司的綠盟科技漏洞庫，這些漏洞庫也都更新及時，分類詳細。另外還有一些愛好者團體、網絡安全組織等所掌握的漏洞信息，其特點是時效性強、漏洞信息很新，威脅程度較高，也有很高的分析價值。

選擇信息源時，應當盡可能綜合上述漏洞庫的信息，積極吸取各方的長處和優勢，為在分析環節進行漏洞的分析分類和整理提供盡量多的數據，這樣有助于分析環節中的分類更明確，特征碼提取更準確，能夠更高效地為最終用戶提供相應的漏洞應對策略，同時更好地將信息源和信息目的地連接在一起。

3.2分析中心

分析中心負責將從信息源傳來的信息進行分析分類和整理，在技術條件允許的情況下對漏洞進行深一步的研究，主要是從已經獲得的漏洞信息中，如漏洞影響的系統、軟件或者協議，漏洞的CVE編號，漏洞觸發時的內存情況、系統信息、運行狀態等信息中，提取引發漏洞威脅的文件、數據流的特征碼，使得用戶能夠根據特征碼來發現漏洞的威脅。這種方式較為簡便易行，同時不要求客戶端占用太多的資源。

分析中心需要完成對漏洞的分類，按照影響的信息系統的部分不同，分為系統漏洞、應用程序漏洞、協議漏洞等；按照威脅等級將漏洞標記為高風險、一般風險和低風險；按照觸發機制的不同，將漏洞分為緩沖區溢出漏洞、注入漏洞、遠程安全機制繞過漏洞等；并以此作為參考的一部分，定義漏洞的特征碼，方便地標識一個漏洞所處的狀態。endprint

一個漏洞的觸發機制，即軟件活硬件的異常是在什么情況下被觸發的，能夠精確地定位觸發漏洞的場景，明確當時軟件的輸入、正在處理的數據、提供給它的接口做出了哪些動作，對漏洞的研究也就成功了一半。同時，明確觸發漏洞的輸入也有非常重要的意義，因為在一般情況下想要進行漏洞利用，必須要觸發漏洞，而漏洞利用的代碼、數據流或者文件與引起軟硬件崩潰時的場景必然有相似或者相同之處，研究漏洞的觸發機制是分析一個漏洞的重要的一步。

明確一個漏洞能夠造成的后果，對漏洞分析和漏洞威脅等級的定義，也有重要的價值。有些漏洞僅會導致目錄信息被泄露或者拒絕服務，有些漏洞則造成緩沖區溢出，指令寄存器被攻擊者篡改，引發攻擊者可以執行任何命令的嚴重后果；故需要根據漏洞影響的范圍，以及針對此種類型的漏洞的攻擊方式、攻擊工具的數量的不同，對漏洞的威脅等級進行定義，對于威脅等級較高的漏洞，相應地在分析、處理時的緊迫度也較高。

針對威脅等級中等以上的漏洞，分析中心可以通過從安全組織處、從網絡流量或異常監控中獲取一個漏洞相應的exploit代碼，如果某一漏洞的exploit代碼不易被獲取，分析中心可采取自主開發的方式得到相應的exploit代碼。exploit代碼可以用來向用戶提供更為準確的威脅警告，如果用戶在自己的網絡流量或者文件中監察到了與之相同或非常相似的部分，那么該文件或者信息就極有可能是攻擊者用來觸發漏洞的，用戶可以通過升級系統和應用程序，屏蔽某個來源的信息來防范此類攻擊的威脅。exploit代碼同樣是生成漏洞特征碼時應當考慮的一個組成部分。

3.3最終用戶

最終用戶是以上部分和策略的直接使用者，漏洞信息的整理和分析的結果在用戶處體現。用戶處采取客戶端的方式，與分析中心進行交互，從分析中心處獲得以特征碼為主的漏洞信息，反饋自己的匹配結果和在軟硬件系統出現異常時的系統狀態信息，為分析中心提供分析漏洞和開發相應的exploit代碼的參考。通過這種信息的交互，用戶能夠及時發現自身系統中漏洞所造成的安全威脅，分析中心能夠得到用戶的反饋，驗證特征碼的構造是否合理并根據用戶的狀態信息開發新的exploit代碼。

在這種方式下，用戶需要在本地定時開放文件掃描和網絡流量監控，通過特征碼與文件和流量相匹配，以發現其中的異常情況，及時提醒用戶防范惡意攻擊和升級系統。在軟硬件系統發生異常或者崩潰的時候，客戶端報告系統的狀態信息，用戶在使用分析中西提供的服務的同時，也在某種程度上作為一種信息源將必要的信息提供給分析中心。

4結束語

本方案通過三個部分多個組成部分之間的協調聯系，將漏洞應對的各個環節緊密聯系起來，達到漏洞威脅的綜合管理和應對。傳統的漏洞威脅應對以“補丁”的方式為主，即發現漏洞以后，開發出相應的漏洞補丁予以修補，這種方式有一定的滯后性同時補丁的安裝可能會引入新的安全威脅，受對病毒的防御方法的啟發，本方案將重點從不漏洞向防止漏洞被利用轉變，在采用這種方法的同時并不完全放棄傳統的補丁方式，由單一的防護途徑向綜合的多種防護途徑轉變，不斷加強信息系統的安全性。

參考文獻

[1] 張友春，魏強，劉增良等. 信息系統漏洞挖掘技術體系研究[J]. 通信學報，2011（2）： 42-47.

[2] 黃奕，曾凡平，張美超. 基于動態輸入追蹤的模糊技術[J]. 計算機工程， 2011， 37（6）： 44-45， 48.

[3] 陳韜，孫樂昌，潘祖烈等. 基于文件格式的漏洞挖掘技術研究[J]. 計算機科學，2011（S1）： 78-82.

[4] 李偉明，張愛芳，劉建財等. 網絡協議的自動化模糊測試漏洞挖掘方法[J]. 計算機學報，2011（2）： 242-255.

[5] 陸凱. Web應用程序安全漏洞挖掘的研究[D]. 西安電子科技大學， 2010.

[6] 徐有福，文偉平，張普含等. 一種參考安全補丁比對的軟件安全漏洞挖掘方法研究[Z]. 北京： 2011.

[7] 黃誠，方勇. ActiveX控件漏洞挖掘與分析技術研究[J]. 信息安全與通信保密，2012（2）： 54-56.

[8] 吳毓書，周安民，吳少華等. 基于Fuzzing的ActiveX控件漏洞發掘技術[J]. 計算機應用，2008（9）： 2252-2254.

[9] 徐良華，孫玉龍，高豐等. 基于逆向工程的軟件漏洞挖掘技術[J]. 微計算機信息，2006（24）： 259-261.

[10] Noel S， Elder M， Jajodia S， et al. Advances in Topological Vulnerability Analysis[C]. 2009.

[11] 吳舒平，張玉清. 漏洞庫發展現狀的研究及啟示[J]. 計算機安全， 2010（11）： 82-84.

[12] Yao G， Guan Q， Ni K. Test Model for Security Vulnerability in Web Controls based on Fuzzing[J]. Journal of Software. 2012， 7（4）： 773-778.

作者簡介：

黃俊強（1974-），男，漢族，沈陽工業學院，本科，黑龍江省電子信息產品監督檢驗院信息安全測評中心主任，高級工程師；主要研究方向和關注領域：網絡與信息安全、風險評估與等級保護測評。

宋超臣（1979-），男，漢族，哈爾濱工程大學，碩士研究生，工程師；主要研究方向和關注領域：服務計算、信息安全。endprint